Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Rootkit на DC. (заявка № 20019)

  1. #1
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    39

    Exclamation Rootkit на DC.

    Собственно сабж. В наследство достался DC на Win2k, стоял с необновленным Симантеком. DrWeb нашел троянца и RK. Что за RK был - не скажу, ибо был убит неглядя, что является моей ошибкой.

    Далее начались глюки следующего рода: DC не стартовал вообще. Выход был найден копированием веток реестра WinSock и WinSock32 с аналогичного сервера, после чего он стартовал, но не выполняет автозапуск службы NetLogon, завершая ее из-за ошибки. То есть после нажатия ctrl+alt+del, ввода логина/пароля, загрузки рабочего стола - мне требуется вручную запустить службу "Сетевой вход в систему", после чего DC приступает к своим обязанностям.

    Теперь сервер перегружается раз в сутки (если не трогать) или "при обращении к модулю c:\winnt\system32\lsass.exe с кодом состояния -1073741819

    Я знаю, что проблема связана с тем, что Руткит изменил пути к системным файлам (smss.exe, в частности), но как побороть - не знаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    850
    Если использовали Cureit! для проверки, он должен был сохранить лог в %userprofile%\DoctorWeb\cureit.log - там должна быть информация о том, что лечилось/удалялось.
    Логи выглядят чистыми. На всякий случай, посмотрите эту статью - http://support.microsoft.com/kb/300038 - может быть, ваш случай.
    К сожалению, по логам с серверной ос гадать сложно. Совсем на всякий случай, опять же, если есть возможность, загрузите файлы smss.exe и lsass.exe с проблемной машины по ссылке http://virusinfo.info/upload_virus.php?tid=20019 в архиве с паролем virus. И еще, вы сделали что-то похожее руками, но тем не менее: в утилите netsh для Win2003 есть контекст winsock, в котором есть команда reset - сброс каталога winsock в исходное состояние. Если аналогичный контекст есть и в netsh для win2k - попробуйте выполнить.
    Последний раз редактировалось Numb; 18.03.2008 в 14:02.

  4. #3
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    39
    Как я понимаю, лог Cureit! ограничен по умолчанию размером. К сожалению туда записи убийства RK не попали.

    Статью читал. Репликация выставлена согласно статье. Так же пробовал накатить повторно SP4 для w2k. Эффекта не дало.

    Маленький комментарий к логу: если повнимательнее посмотреть лог Менеджера WinSock SPI, то можно увидеть массу записей о том, что пути к файлам rnr20.dll, winrnr.dll, т.д., идут на с:\Documents&Settings\Администратор\WINDOWS\System 32\file_name.xxx , что не есть карашо, ибо такого пути нет. Он был, но был жестоко и неосмотрительно пристрелен мной.

    На данный момент вижу только одно решение: воспользоваться Easy Recovery PRO, восстановить RK и того троянца для более точного исследования.

    К сожалению, netsh то есть, но функции управления сокетами появились только в Win2k3. Именно по-етому пришлось копировать обе ветки реестра.

    Файлы сейчас вышлю (как найду, как поставить пароль на Zip - архив, к сожалению, WinRaR не умеет).

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3003
    Цитата Сообщение от Skye Посмотреть сообщение
    В наследство достался DC на Win2k
    DC- это Даймлер-Крайслер?
    стоял с необновленным Симантеком.
    Полученые от кого бы то ни было в наследство ПК подлежат переустановке системы с удалением всех разделов диска. Лучше - еще до подключения к сети.

  6. #5
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    39
    Файл закачен.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    850
    Цитата Сообщение от Skye Посмотреть сообщение
    Маленький комментарий к логу: если повнимательнее посмотреть лог Менеджера WinSock SPI, то можно увидеть массу записей о том, что пути к файлам rnr20.dll, winrnr.dll, т.д., идут на с:\Documents&Settings\Администратор\WINDOWS\System 32\file_name.xxx , что не есть карашо, ибо такого пути нет. Он был, но был жестоко и неосмотрительно пристрелен мной.
    Это видно, но это, с большой долей вероятности, не проблема вашей ОС, а особенность формирования логов программами AVZ и HJT при работе с серверной ОС (там, если вы посмотрите, практически все системные службы по такому пути расположены). Что касается пути %userprofile%\windows\system32 - он может быть связан с доступом к серверу через терминальную сессию. Если я прав, то при повторном подключении через RDP под администратором, думаю, папки будут созданы снова.
    Еще, как вариант: попробуйте netdiag - если он найдет проблемы, там есть ключ fix - возможно, с его помощью удасться восстановить работоспособность системы.

  8. #7
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    39
    Цитата Сообщение от Rene-gad Посмотреть сообщение

    Полученые от кого бы то ни было в наследство ПК подлежат переустановке системы с удалением всех разделов диска. Лучше - еще до подключения к сети.
    К сожалению это рабочий Даймлер Крайслер () в сети. Как то мне в голову не приходит ничего больше, нежели понизить роль сервера до рядового, перенести AD, отформатить и снова развернуть домен. Но это слишком большие временные затраты. По-этому, собственно, и обратился к Вам.

    Добавлено через 17 минут

    Цитата Сообщение от Numb Посмотреть сообщение
    Это видно, но это, с большой долей вероятности, не проблема вашей ОС, а особенность формирования логов программами AVZ и HJT при работе с серверной ОС (там, если вы посмотрите, практически все системные службы по такому пути расположены). Что касается пути %userprofile%\windows\system32 - он может быть связан с доступом к серверу через терминальную сессию. Если я прав, то при повторном подключении через RDP под администратором, думаю, папки будут созданы снова.
    Еще, как вариант: попробуйте netdiag - если он найдет проблемы, там есть ключ fix - возможно, с его помощью удасться восстановить работоспособность системы.
    Хм. Странно, но папки при повторном подключении по RDP не создаются. После убийства вышеописанного RK исчезали папки netshare и sysvol. После копирования веток Winsock'a и создания данных папок пользователям удалось подключаться к DC, началась раздача адресов.

    Netdiag проблем не видит.

    Может имеет смысл в ручную создать тот путь, который указан в АVZ и поместить туда эти файлы?..
    Последний раз редактировалось Skye; 18.03.2008 в 15:38. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3003
    Цитата Сообщение от Skye Посмотреть сообщение
    Но это слишком большие временные затраты.
    По сравнению с затратами времени на попытки очистить ПК от мусора - это ништяк .

  10. #9
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    39
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    По сравнению с затратами времени на попытки очистить ПК от мусора - это ништяк .
    Уважаемый, я, конечно, понимаю, что "поставить все с чистого листа" есть True для любой системы, но поскольку этот компьютер является мало того, что сервером, так еще и контроллером домена на (120 рабочих мест), то этот вариант должен быть самым последним.

    P.S. Соответствуете своему нику данными советами?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    850
    Наврал Создается путь %userprofile%\windows\system . Но про логи, остаюсь при своем мнении - это, скорее всего, особенность работы AVZ

  12. #11
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    39
    Цитата Сообщение от Numb Посмотреть сообщение
    Наврал Создается путь %userprofile%\windows\system . Но про логи, остаюсь при своем мнении - это, скорее всего, особенность работы AVZ
    Да, создается именно этот путь . Хм. Давайте выступлю в качесте "вега" тестера и просканирую соседний аналогичный сервер (ну кроме того, что он рядовой в моем лесу), на предмет вероятности некорректности логов.

  13. #12
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    39
    Судя по логу, прав я.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    850
    А эта вторая машина - тоже именно w2k сервер и тоже используется, как терминальный сервер?

  15. #14
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    39
    Отредактировал:
    Прошу прощения, да, это терминальный сервер так же. Под 1С. По правам - рядовой сервер. ОС - W2k SP4.
    Последний раз редактировалось Skye; 18.03.2008 в 16:58.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    Можно проверить на всякий случай несколько файлов.
    Выполните скрипт в AVZ:
    Код:
    begin
    QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\system32\drivers\netdtect.sys','');
    QuarantineFile ('%WinDir%\system32\drivers\netdtect.sys','');
    QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\System32\Drivers\Beep.SYS','');
    QuarantineFile ('%WinDir%\System32\Drivers\Beep.SYS','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин, как написано в правилах (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20019 ).
    Вам знакомы эти программы:
    D:\WorkTimer\PROMAG.exe
    C:\Program Files\3Com\Network Director\bin\NM_Launcher.exe
    Если незнакомы, то тоже пришлите.
    И еще MSIE: Internet Explorer v5.00 SP4 пора обновить
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  17. #16
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    39
    kps, программы знакомы. Первая - считыватель карт "приход-уход" на работу, вторая - софтинка для управления сетью на базе управляемых свичей 3com, как видно. Поскольку DC не имеет выхода в интернет - не вижу смысла обновлять IE. Лучше уж обновить весь сервер до 2к3 r2, и сделать его WSUS. По поводу скрипта: по пути

    'C:\Documents and Settings\Администратор\WINDOWS\system32\drivers\ne tdtect.sys'

    'C:\Documents and Settings\Администратор\WINDOWS\System32\Drivers\Be ep.SYS'

    Указанных файлов нет, они были убиты мной (как я говорил выше), а в рабочее время перегрузить DC не имею возможности. Можно просто залить архив фалов drivers\netdtect.sys и drivers\beep.sys?..

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    Цитата Сообщение от Skye Посмотреть сообщение
    Можно просто залить архив фалов drivers\netdtect.sys и drivers\beep.sys?..
    Заливайте оба файла с Вашего компьютера по указанной ссылке.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  19. #18
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    39
    Закачены. Думаю, они не помогут, ибо при повторном накате SP4 были заменены на чистые.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    Да, они чистые.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1816
    Цитата Сообщение от Skye Посмотреть сообщение
    После убийства вышеописанного RK исчезали папки netshare и sysvol. После копирования веток Winsock'a и создания данных папок пользователям удалось подключаться к DC, началась раздача адресов.
    На DC (но это W2k3) папки Sysvol и NetLogon помечены комментарием "Общий сервер входа" и они действительно нужны для работы домена.

    Добавлено через 25 минут

    Покажите пожалуйста, что есть в реестре в таких местах:
    Код:
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
    Последний раз редактировалось Kuzz; 19.03.2008 в 20:50. Причина: Добавлено
    The worst foe lies within the self...

  • Уважаемый(ая) Skye, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Rootkit.HiddenValue@0 и Rootkit.HiddenKey@0 Вирусы?
      От Romik_lv в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.09.2011, 19:34
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Win32/Rootkit.Agent.DP, Win32/Rootkit.Agent.EY и Win32/WigonX
      От vook в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:53
    5. Rootkit that bypasses Anti-Rootkit Software
      От Simple10 в разделе Viruses, Adware, Spyware, Hijackers
      Ответов: 3
      Последнее сообщение: 22.02.2008, 07:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00229 seconds with 17 queries